企业移动设备管理技术资料

1、byod企业移动设备管理技术资料企业移动设备管理技术提出了中兴通讯自带设备办公（）解决方案。方案在终端 层、接入层、控制层、应用分别解决企业面临的设备安全管理、 应用安全管理及数据安全问题。终端层提供安全套件；接入层提 供信令媒体接入网关和统一接入控制服务，提供移动设备安全接 入服务，并提供统一的设备鉴权认证及用户鉴权认证；控制层用 于控制移动用户及设备的行为模式；应用层用于提供具体的企业 移动服务，包括通用的企业通信服务、企业办公应用支撑、虚拟 桌面、企业网盘，以及企业业务相关的移动应用。携带自己设备办公；移动设备管理；移动应用管理；安全策 略；环境感知s （）,.a ，随着移动3网络的快速

2、发展、智能移动终端日益普及和性能 的极大提升，移动应用和服务不断丰富，移动办公具备了条件。 员工携带自己的设备办公一一自带设备办公（），带来了全新的 办公体验：工作灵活、效率提升、企业成本节省。已成为未来企 业发展的趋势、业界的热点。根据公司的统计数据显示，2012 年，37%的企业允许员工用自己的手机接入公司网络，34%的企业 允许员工的平板接入，比2011年增长34%和30%。公司的报告中 在对北美1 000家知名企业和学校的调研中，有72%的企业支持, 15%计划支持。预计到2014年,将有90%的企业支持，到2016 年，38%企业停止提供办公设备，2017年50%员工自带设备上班。带

3、来便利的同时，也对企业提出了如下的严峻挑战：(1)安全的挑战 企业员工的自有移动终端不可避免地运行在不安全的外 部网络，在采用网页浏览、下载应用、收发邮件等方式访问公司 信息时，容易遭受恶意攻击，很可能感染病毒或者被种植“木 马”，移动终端再接入企业内部网络，会对内部网络安全构成极 大威胁，同时可能导致企业内部的敏感数据被窃取。 员工在设备上任意下载和安装消费类应用，会降低系统的 可靠性，引入安全风险，造成企业数据丢失或设备功能失效。 智能移动设备便携性高、易丢失或被窃，会导致敏感商业 信息的泄漏，对数据安全构成极大威胁，还会给企业带来法规遵 从的风险。此外，移动终端会被恶意或者被他人非授权使

4、用，产 生拷贝、下载或打印企业内部敏感资料的风险。(2)管理复杂度的挑战下企业需要员工使用移动设备安全地访问企业网络的内部 资源，能够跨物理、虚拟、移动和云环境自由地共享数据。如何 统一管控众多非统一标准、分散各处的移动终端，在减少管理移 动设备复杂度的同时，降低企业部署成本，避免企业机密数据外 泄，是一个重大挑战。它对管理员的工作增加了巨大的复杂性， 管理员疲于应对各种安全问题，为每种安全问题考虑和购买最新 的工具，其中包括移动设备管理、系统漏洞管理、数据加密保护 等安全解决方案，这些最新工具和现有的反恶意软件技术捆绑在 一起，让管理员管理网络更为复杂。(3)基础设施扩展的挑战如何简单、快捷

5、地实现企业业务向移动环境的迁移和部署， 避免复杂的自开发带来的高成本，帮助企业部门应对复杂的移动 环境已成为一大挑战。改变了整个生态系统，特别是无线接入时, 如何有效地部署企业无线网络，解决动态可扩展问题。如很多用 户携带多个移动设备，不少设备会保持长连接，定期“醒来”连 接到网络来检查电子邮件和执行其他定期更新，将使无线网络接 入点饱和成为一个普遍的问题，带来各种安全管理设施的增加与 完善问题，而且各种企业应用的移植，需要同时解决用户体验一 致性问题。这些挑战是时代所特有的，采用传统的方式很难得到 解决。1需求分析狭义的特指解决企业办公移动化所引发的移动安全管理，包 括移动内容安全，设备安全

6、以及应用安全。广义的包括所有与企 业移动化相关的动作。的内涵如图1所示。1.1 企业业务移动化的层次企业对于业务移动化，可分为3个层次需求，如图2所示。（1）第一层次需求第一层次需求为通用办公需求。完成业务移动化的基础需 求，主要内容包括：基本协同办公需求，如邮件、内部（即时消 息）、公告、新闻、文档查看/分发/管理、在线打印、等；实时 通信需求，如内部电话、会议电话、视频会议、数据共享、共享 白板等。该层次需求是各企业的共性需求，与业务关系不密切。 目前大多企业集中在第一层次。（2）第二层次需求第二层次需求为企业应用移动化需求。将企业特定的工作流 由原来的桌面拓展到移动设备，提供基于移动终端

7、的企业应用。 典型场景如仓库人员巡检、出入库管理、物流管理、销售人员的 销售管理/签到、领导的移动公务审批、出差人员的差旅管理、 交警现场执法等等。这些办公事项是与岗位具体业务流程密切相 关，需要定制，并具有天然的移动业务办公需求，能极大提升办 公效率。一些通用的企业应用、财务、系统等的移动化也属于第 二层次需求。（3）第三层次需求第三层次需求为移动设备永远在线、场景感知、业务随场景 平滑切换需求。第三层次是部分先进企业或高安全性单位，企业 需要全天候监测员工的动向，在企业高安全性场景，可以通过策 略设置或者定制终端等综合手段，强制在公司内网、3g等移动 状态、外部互联网环境下执行与互联网等环

8、境下动态灵活的实施 不同的安全网络策略。例如有一些与企业部分安全级别高的密切 相关的应用只容许在特定工作场所（甚至是特定终端）启用，而 禁止在其他使用互联网环境使用。随着企业安全意识的提升和精 细化管理的需求，实施第三层次的管理迫在眉睫，已成为必然的 选择。1.2 移动安全需求业界一致认为安全问题是阻碍实施的主要问题1,主要包 括3方面：（1）网络接入安全传统的企业网络相对封闭，有统一的网络入口和出口，所有 进出内部网络的流量均可以被完全控制。随着的实施，原来固定 在企业内部访问的终端设备，有部分设备需直接接入到公网中， 脱离了企业原来的管控。如何保障在公共网络的设备能够安全、 可靠、可信地访

9、问企业服务成为一大问题。今后企业业务部署到 公有云环境会成为普遍现象2,这时无论是服务端还是客户端 有可能都脱离传统的企业局域网范围，网络的接入安全问题将更 为突出。（2）数字内容安全在传统的机上，所有的内容均物理位于企业范围内，可以通 过各种物理和管理防护手段确保内容安全。移动设备上数字内容 如何保证安全就困难多了，更危险的是移动设备容易遗失或被第 三方窃取，如何能够保证用户身份失效后数据也失效，就成为一个关键的安全问题。对于内容安全的基本需求如下： 保证在移动设备上的数据是加密存储的，必须在经过身份 认证后才能访问。 设备遗失时数据可以被远程销毁。 移动设备上，私人数据与公共数据必须存储隔

10、离、访问隔 离。 通用浏览器浏览的内容会被缓存，因此必须提供安全浏览 器，保证加密缓存的内容。 所有应用保存的文件必须加密处理。 移动设备数据需要同步回云端服务器。 阻止木马病毒窃取资料。 阻止非法接口获取信息。（3）设备安全移动终端设备因来源不可控，可能被内嵌恶意程序。要确保 启动企业应用的设备环境是干净的，无关应用禁止运行。企业需 要对设备进行管理和控制，确保只有经过登记后的设备才能够运 行企业应用。管理人员可随时跟踪设备的状态。设备的终端操作 系统需要可控，有任何漏洞能够远程打补丁。设备操作日志在合 适的场景需要传送回企业，确保安全审计的完整性。用户丢失设 备后，能够及时远程锁定设备或擦

11、除设备信息以防公司机密外 泄。（4）传输安全外部网络环境下通信本身是不安全的，无线信号可能被截 取，数字通信可能被中间的路由设备截取/篡改。在不安全的网 络中要安全地使用企业服务，需要在移动终端与企业间构建一条 安全的传输通道。移动通信有自己的特点，如信号不稳定、网络 经常中断、终端耗电量要求等，导致传统互联网安全通道技术如 在移动互联网并不适用。（5）应用安全企业应用必须在安全的环境下运行，才能保证应用的可信 性。新方案更加重视移动应用管理，只管理设备上的企业内容和 应用，而非整个设备，提高员工效率同时保护隐私。企业对于应 用安全有如下要求：应用必须通过安全的渠道分发，确保不被发 行过程篡改

12、或注入非法代码一企业需要提供安全的应用商店。企 业应用能够拥有完善的生命周期管理，从应用的分发，安装，到 使用，升级，销毁都能够做到全生命周期监控。应用启动过程需 要对环境进行检测，典型的企业应用需要独立入口访问，数据与 其他个人应用能够完全隔离。 .3企业应用的移动化整合仅仅拥有系统是不足以完成企业移动化改造的，必须对企业 办公系统进行全面整合，才能够适应企业移动办公的要求，这个 就是企业的外延，如图3所示。企业应用移动化，必须解决以下几个问题：（1）策略整合企业需要将移动设备与传统设备整合管理。一个用户只需在 一个地方设置一套固定策略，即可以统一管理归属于该用户的所 有设备资源，保证新增系

13、统对已有投资的侵入性最小，能够兼容 整合各种企业策略管理方案。（2）用户身份系统整合大部分企业都有内部系统的单次登陆鉴权系统（），对应企 业的组织架构管理、群组管理、权限管理，用户仅需要登录一次 就可以无缝地访问所有设施。系统为了保证对现有系统的无侵入 性，必须提供适当的用户开放能力接口，通过用户数据或者接口 同步，第一时间反映企业用户关系、组织关系的变化，并能够与 其他设施协同工作。（3）邮件系统整合传统的邮件访问都是通过浏览器或客户端，邮件移动化要求 解决邮件及时推送到终端的问题。传统的邮件移动化都是依赖专 业的服务公司（如运营商及手机服务商）提供安全可靠的邮件推 送服务。大规模的企业应用

14、移动化不应过分依赖于这些运营商及 服务商，自建邮件推送平台能够更好地与企业邮件系统相互融 合，或提供一些独到的企业增值服务。（4）应用/企业应用迁移每个企业都有大量的定制或外购应用及企业应用。为了业务 移动化，必须要将一部分业务/企业应用迁移到手机，这是企业 项目中难度最大的内容。对于应用，目前有一些中间件系统可以 协助迁移，能够部分减少工作量。企业应用有两种做法：移动虚 拟桌面方式，企业应用不需改造，但对移动设备的屏幕大小和分 辨率有要求，太小了用户体验会很槽糕；开放接口二次开发，这 种方式效果较好，但工作量大。（5）融合通信/会议系统企业办公移动化后，终端需要支持移动设备，提供数据实时 推

15、送能力及短信唤醒能力。会议系统如会议电话、桌面共享、电 子白板、会议电视等也需要支持移动终端接入。（6）文档管理企业业务移动化后，一方面传统大量的文档需要能够被移动 终端获取、阅读、修改。另一方面移动终端会生成大量电子文档, 需要由服务端统一管理、备份、复制。对于移动文档管理需要提 供对应的终端加密技术，保证存储在终端设备内的文档只有该终 端是可读的，即使泄漏出去也无法被其他设备读取。这就涉及到 及移动加密文件系统技术。（7）社交与协作企业内的社交/协作工具，需要移动终端与或进行企业内的 互动。如果需要迁移，方法与应用/企业应用迁移类似，可以通 过移动中间件或开放接口方式进行社交及协作服务迁移

16、。2关键技术分析下面介绍实施过程中需要用到的关键技术 .1数据安全技术公钥基础设施（）是一种遵循既定标准的密钥管理平台，它 能够为所有网络应用提供加密和数字签名等密码服务及所必需 的密钥和证书管理体系。简单来说，就是利用公钥理论和技术建 立的提供安全服务的基础设施。体系的核心是证书中心（）。通 过统一生成证书，注销证书，并通过各级实现证书的安全发放。 用户收到的证书包括公钥和私钥。每一对公钥和私钥可以完整认 证使用者的身份信息。体系在中有重要作用，可以使用证书建立 安全套接层-虚拟私有网络o安全通道，如图4所示。对比传统而言是一种轻量级的3-4,在客户端和服务端各 设置一个代理服务。由代理服务

17、负责建立安全套接层o通道， 然后将应用需要交互的数据通过加密通道发送到对端，对端解密 后交还给对应的服务或终端。服务端的由于需要面向大量终端的 请求，一般使用独立设备实现，而终端侧一般将代理打包进应用, 作为一个独立的进程，接收应用利用应用编程接口（）发来的数 据包，通过安全套接层管道发送给网关设备。使用证书进行内容签名的过程如图5所示。为了保证数字内容的真实性不被篡改，需要在内容后附带一 个加密指纹。加密指纹是使用密钥，对于内容进行校验后用私钥 加密，接收方使用公钥验证内容是否与签名符合。使用证书进行数字内容加密。与签名流程类似，但目的不一 样，签名是为了保证内容不被篡改，加密是为了保证只有

18、拥有合 法密钥的用户才能够阅读。因此加密使用的是密钥对中的公钥对 内容进行加密处理，生成密文后，只有通过合适的私钥才能够顺 利解开密文。2. 2策略管理技术安全的策略管理包含几部分内容，如图6所示。 策略的定义与管理，这部分与传统策略相同，移动策略的 4要素分别是时间、地点、应用/系统/能力、权限。 策略下发。将策略定义编码后下发到终端，终端解码后获 取策略。目前这部分标准有两种：069和。标准定义了策略交 换协议及编码格式。我们建议使用标准方式进行策略下发，这对 于第三方比较友好，而且很多终端设备已经支持了这种设备管理 协议。 策略的执行。下发后的策略必须在终端设备执行才能够使 对应的策略生

19、效。在终端上有策略执行引擎，不同操作系统下策 略执行引擎会有差别。 执行结果的反馈。策略执行完成后还需要进行反馈验证， 确保策略已经生效。管理员也能够通过反馈通道随时查询到终端 当前的策略状态。 状态统计与报告。在服务端需要定期统计策略执行情况并 生成安全报告。2. 3环境感知技术能够有效地进行环境感知是实施第三阶段的前提条件。环境 感知含义就是通过终端的各种传感器，如麦克风、摄像头、加速 度计、接入点信息、3g信号场强等等，能够判别出用户所处环 境并设置对应策略。单纯通过这些传感器进行判断还是相当困难的，目前比较好 的做法是采用用户标记及服务端辅助识别方式5 o实现过程如 下： 事先在特定场

20、所进行环境变量采样，将采样的环境变量生 成环境描述特征矩阵保存在服务端。 移动设备进入预定义场所后，搜集传感器信号，生成特征 矩阵。 移动设备将采样特征矩阵传送给服务端，进行比较。 服务端比较移动终端采样特征矩阵与事先获取的环境描 述矩阵进行适配，识别出移动终端是否处于特定环境下。 服务端将识别结果及对应策略下发到移动终端。 移动终端根据策略执行相应设定。 .4应用隔离技术移动应用在终端运行过程中，需要确保首先应用本身处于安 全运行环境，外界除非通过接口，否则无法干预应用的运行过程; 其次应用生成的数据只有应用自己及可信的其他应用可以进行 访问，非可信应用无法访问。对于移动应用隔离有3类方法（

21、1）操作系统层面在操作系统中针对企业应用设立一个安全层，安全层运行的 软件与其他软件隔离，即使手机受到病毒入侵，也无法访问获取 安全层的数据，安全层内的应用和数据可以通过授权的服务远程 控制及销毁。黑莓也提供类似功能。（2 ）应用层隔离手机内驻留一个应用作为设备管理器权限运行，该应用可以 管理手机内其他应用及策略。通过该应用可以阻止非授权第三方 应用运行，以及配置相关的应用访问策略。另外，这种场景一般 会写一个企业独立的，该启动后只能够看到企业应用，而看不到 第三方应用，从而达到入口隔离的目的。（3）应用内安全隔离应用访问本地存储不直接写明文文件，而是通过加密函数写 入密文。其他企业应用使用相

22、同的密钥后，可以读取密文并转换 回明文。非授权应用没有密钥，没有办法读取加密文件。 .5用户与设备认证技术传统的接入安全和访问控制多是以单次认证为主，即仅在接 入或者进入企业信息系统内部时，验证一次用户的权限。在移动 办公环境下，接入设备或者服务面临数量众多，不断加入和离开 系统的各种设备，单次认证是不够的。设备可以通过已经获得认 证授权的端口、服务或设备进入系统内部，从而绕过接入控制的 限制。非法用户可以用这种方法获得授权用户的权限，对系统的 安全造成严重威胁、。如802. ix提供端口认证，这在设备相对固 定的情况下可以很好的保证接入安全，而在移动办公环境中，可 能有很多设备不停地进入到一

23、个端口对应的范围。这种情况下， 一个已通过一次性认证的端口可能会被伪装设备欺骗，并赋予对 应的设备访问企业内网的权限。用户所持的移动设备通常在经过一次认证，就获得了持续访 问企业内网信息系统的权限。而移动设备本身的访问控制不高， 通常没有安全保护（如使用简单的滑动锁）或仅有弱保护（如使 用9点屏幕锁）。同时，移动设备很容遗失或被盗。在这种情况 下，获得移动设备本身访问权限的人，可简单的绕过高级别的安 全措施，并通过移动设备，以移动设备原拥有者的访问企业内部 信息系统。综上所述，要保证移动办公系统安全，必须提供对用户身份 持续验证技术。对于移动用户与设备认证，需要解决两个问题：设备可信、 操作者

24、可信。目前一般采用双因子认证或多因子认证方式保证。 设备加入企业网后，企业根据设备信息生成一对密钥，其中私钥 以加密方式分发到设备，设备就与该私钥绑定，可以通过密钥交 换策略认证设备的可信性。人员可信相对困难一些，最简单是通过输入密码来验证用户 身份。但为了达到持续验证目的，必然要求用户定期输入密码， 用户体验很糟糕。频繁的验证必须是被动的，并且对用户透明， 否则会由于过于突兀和不方便而不能被用户接受。用户的生理特征可以用来识别用户，而且通常与具体的用户 紧密相关并难以伪造，因此一种可能的方法是使用生物识别技 术。生物识别技术可以大致分为基于生理特征的生物识别和基于 行为的生物识别6。移动终端

25、可识别的生理特征包括指纹、容 貌、声纹等，这些可以通过摄像头、麦克风等采集并进行验证。2. 6移动桌面共享技术通过移动桌面共享能够有效解决环境下，传统客户端应用移 植到移动设备的问题，并具备相当程度的安全性。桌面共享目前 主要基于协议或协议，需要重点解决的问题是：带宽占用、响应 的实时性。桌面可采用协议，传送的是指令而非像素，带宽占用 较少，但对于等其他桌面选择压缩更合适。对于不需要交互的场 景，可以选择使用流媒体方式。在服务端将桌面信息转换为媒体 流，传送到移动终端进行播放。该方案优点是带宽占用少，缺点 是延迟较大。关键技术包括：多用户协同（白板/远程运维下的桌面共享/ 会议情况下桌面共享）、服务器对大并发的支持、对不同浏览器 的兼容、对更多工具/协议的支持、审计（屏幕录像）。2.7实时多媒体通信技术移动设备品牌、型号、操作系统众多，接入方式各异，支持 的编码格式也不同。解决异构环境下的通信成为一个难题。基于 服务的轻量级多媒体通信成为环境下异构通信的较好解决方案 7o将多媒体协议做进浏览器中，使用浏览器就能够进行电视 电话会议、聊天、语音通话等，无需插件。一次开发可以在多操 作系统多终端使用，升级